CN105844165A

CN105844165A - 一种四层计算虚拟化的方法与设备

Info

Publication number: CN105844165A
Application number: CN201510013784.6A
Authority: CN
Inventors: 张维加
Original assignee: Individual
Current assignee: Individual
Priority date: 2015-01-13
Filing date: 2015-01-13
Publication date: 2016-08-10
Also published as: WO2016112605A1

Abstract

一种四层计算虚拟化的方法及设备，通过虚拟出四个独立的虚拟化层次，分别为移动***层、虚拟卷加密层、虚拟应用层以及缓存层，来实现跨设备移动计算。通过将只读镜像***载入到Ramdisk启动运行获得一个快速并关机复原的***层，运算不经过物理磁盘而是以通过创建一个虚拟卷，经验证密钥后载入为虚拟磁盘并控制其访问实现，程序不装到***层，而是通过虚拟化应用环境到虚拟磁盘内部并抽取程序所需的Library与注册表来实现虚拟应用。虚拟应用层嵌套于虚拟卷加密层内，虚拟卷加密层与移动***层则直接存在于网络或移动存储设备，两者分开存储，互不包含。对于虚拟应用层内的程序，由于已经经过虚拟化重定向，运行时抽取到内存虚拟化出的磁盘作为缓存加速运行。

Description

一种四层计算虚拟化的方法与设备

技术领域

本发明属于跨设备计算机制与安防虚拟化的技术领域，可用于保护设备与信息安全并实现应用程序的快速跨设备使用，保护移动设备的信息安全，并能实现应用程序通过网络服务化（Software as a service，简写SaaS），以及虚拟化应用程序的权限控制。

背景技术

移动设备与移动存储设备在近年快速普及，但是存在几个严重的问题，主要的分别有安全性的问题，速度慢的问题，以及跨设备实现云应用尤其是如何实现私有云的问题。

背景一、首先是安全性问题，及其导致的应用部署担忧。

近年来，随着随着信息技术的不断发展，各类计算机层出不穷，计算机的应用领域也深入到了社会的各个层面。根据美国康奈尔大学计算机科学系工程教授JohnHopcroft教授总结，当前计算机领域存在两个明显的趋势，分别是智能移动设备的大量使用，以及云计算的发展。然而，伴随着这两个趋势，用户终端上也就凸显出了相应的两个问题，迫切需要可靠的解决方案。移动存储设备，尤其是移动硬盘与U盘，由于其价格便宜、携带使用方便得到了广泛的应用。内网中机密数据以电子文档的形式存储在电脑上，在方便了内部人员对信息的获取、共享和传播的同时，也存在重要信息通过内部途径泄密的风险。

移动存储介质的使用者也经常忽视对移动设备的查杀毒工作，这也会给移动存储介质的安全也造成一定程度的影响。在实际的使用中，移动存储介质不可避免地会感染一些外在的计算机病毒，如果不能及时有效地查杀病毒，轻易将染毒文件在单位内计算机打开，就很容易将病毒传播到单位内部网中，影响到单位内计算机的应用操作。

为了对抗泄密和感染病毒，对移动存储介质来说，电子文件的安全保护目前主要采用内核加密、身份认证、访问控制和安全审计等技术来实现：

1.加密技术，保证只有拥有密钥的人员才能对文件进行操作。一些制造商为了提高产品的技术含量，开发出具有指纹识别、加密分区等安全措施的移动存储设备，如果不慎丢失，一般人可能无法直接获取其中数据，但对专业人员来说，这些数据安全措施是容易被攻破的。随着密码破解技术的发展，不论是运用Word、WPS等自带的密码功能设置密码，还是利用加密软件对文件、文件夹甚至全盘进行加密，都有可能对密码进行破解，只是时间长短的问题。

加密技术的两个基本元素是加密算法和加密密钥。加密按照发送方/接收方的加密密钥/解密密钥是否相同可以将加密技术分为对称加密和非对称加密。对称加密也称为私钥加密，它是指发送方、接收方采用相同的密钥对数据进行加密、解密。对称加密的安全性取决于密钥的安全性，只要密钥是安全的那么即使对手知道了密文和加密算法在没有密钥的情况下也不可能获得明文。值得注意的是加密方式的安全性判别有两个标准，通常可以认为只要破解密钥所花费的时间超过了加密信息本身的有效期或者破解密文所花费的成本超过了密文本身的价值，那么可以认为该加密算法就是安全的。

2.访问控制。一般需要和身份认证相结合，访问控制机制的基本思想是对文件和管理人员赋予相应的权限，只有具备对文件操作的权限才能对文件进行操作。访问控制技术是信息安全技术中不可或缺的一环，访问控制技术的基本思想是根据用户所拥有的权限来控制用户对资源的访问。访问控制技术大体上可以分为扁平化结构和层次化结构，扁平化结构的特点是用户权限和资源直接关联，层次化结构的特点是用户权限和资源之间并不直接祸合。

3.安全审计。只有对电子文件的操作过程进行记录才能保证在电子文件泄漏事件发生后对责任人进行处理，从而降低泄漏事故发生的概率。但是，移动存储设备的管理方面缺乏有效的管理监督机制和保密机制。

但是，这些移动设备的安全防护既会带来更高的成本，也会给移动设备方便的使用特性带来麻烦。

这些安全性问题，同时也阻挠了移动设备上应用与运算的发展。许多情景下，迫切需要移动的程序运算与工作展开，但是由于严重的安全问题，而不得不作罢。一个典型的案例就是Windows to Go在许多商业公司被禁止。

背景二、速度慢的问题。

此处的速度慢主要指的是移动设备承载虚拟化工作后速度慢的问题。移动设备本身速度都不快，与计算机的连接接口的速度也一般。而虚拟化会造成速度的进一步减慢，不可避免地给用户体验带来很大的影响。

传统的虚拟机对于宿主计算机的性能有较高的需求，以致在一些老旧电脑上不足以启动运行。因为传统的虚拟机都需要占用至少一颗CPU，一部分独占内存，来虚拟出一台完整的计算机，并需要在其中安装完整的操作***，再在其上安装操作程序，这样很耗硬件资源，很慢！

并且运行应用程序前启动虚拟机时需要进行一个很长的虚拟机开机时间，等待很久。

而且每一个应用程序运行的时候使用的是虚拟机的硬件设备，而对于一个拟在双核2G内存的较高配置上运行的虚拟机，其硬件设置一般也不宜高于宿主计算机的一半即单核1G内存（否则宿主计算机会陷入卡顿），那么可以设想，在这样低劣性能的虚拟机上，能够运行什么程序？这些程序又会是什么速度？

这就是传统虚拟机仅仅用于工控调试的原因。

比如，微软的Windows 8企业版具有Windows to Go的功能，允许企业级用户创建基于USB的***，但是对设备速度的要求非常高，使得其实现成本其实很高。

背景三、跨设备实现云应用，尤其是如何实现私有云的问题。

早在1997年,南加州大学教授Ramnath K. Chellappa就提出了云计算的第一个学术定义，他认为“云”是一种计算模式，计算的界限是由经济合理性决定的，而不是由技术水平来决定。

云计算是网格计算、分布式计算、虚拟化、并行计算、效用计算、负载均衡、网络存储等传统计算机技术和网络技术发展融合的产物。云计算的目的是通过网络把多个低成本的计算实体整合成一个具有强大“性价比”的计算机应用***，并借助SaaS、PaaS、IaaS、MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中。这种特性经常被称为像水电一样使用IT基础设施。

最先是云存储。苹果iCloud, Google,亚马逊 Cloud Drive, Windows Live SkyDrive和Dropbox纷纷推出了大容量的存储空间。虽然相比于目前动辄数T的本地存储空间，以及本地已经每秒数G的本地或USB传输速度，云存储的区区数G的大小和以M每秒计算的网络传输速度显得还很不足，或者说这也可能是由于硬件存储与传输接口的发展速度总是会快于网络环境发展速度造成的必然结果，但是不可否认的是，云存储在文件交互、故障维护上比用本地存储方便很多，所以是本地存储的有效可靠的补充。

云计算的第二个阶段，就进入了目前最新的话题之一，云应用的阶段。近年来较为知名的VMware，ChromeOS，VMforce等一系列云计算应用产品，均为云应用的发展做出了较大的贡献。

但是目前云端应用的缺陷还是很明显的。举例如下。

首先，极高的服务器资源需求与技术要求，因此集中控制在少数大公司手里。比如谷歌的ChromeBook等。一般的中小企业不具备实现能力。这也使得云应用成本很高，目前不能普及。

第二，依赖于LAN的高速。与局域网不同，一般的广域的LAN的速度能够支持在线播放、在线编辑文档、甚至在线小游戏，但是无法进行更具实用性的工作与娱乐。网络的速度无法支持在线玩大型的3D游戏或者进行Matlab工作程序运算。诚然网络的速度会发展，但是不可否认的是程序与游戏的复杂性与计算量增长的更快。

第三，应用存在很大的局限性和兼容性。现在的Google ChromeBook像一个网络化的DOS (DiskOperation System磁盘操作***），它的启动速度够快，但是局限太多，支持的东西太少。谷歌表示，“所有Chrome OS应用都采用Web技术”。因此Chrome OS能够支持的应用必须是可以基于Web运行的。这也就是说用户购买的实质上是一个浏览器。而微软服务器的RemoteApp和Critex主导的远程XenApp 模式则存在很大的兼容性问题。

第四，用户所有数据都存储在网络上，安全性如何获得有效的保障，是一个很大的疑问。假设用户可以相信Google能够提供足够安全的环境，但一些不想置于网上的隐私应该怎么办。

第五，不同用户间如何实现安全隔离，对于低权限低信任的用户又要如何进行权限控制。这些在传统的移动设备或者传统的虚拟机上，都是根本无法实现的。

不光光是对用户的权限管制与隔离，云中的应用种类多样，如何保证各种应用之间的安全隔离，同时能否及时阻止包括云内和云外的非法访问，以保证各种异构应用的安全，也是个问题。企业考虑部署云应用时，安全问题常常是最常见的障碍。根据IDC的调查，90%的企业认为安全是部署云的最大障碍。云端模式必须首先能够为用户提供安全的服务，这意味着，应用所在平台必须首先是一个安全的平台、放心的平台，用户才会选择将应用转到云端中。

所以，背景三问题就是，云应用必须降低成本与技术门槛，并解决安全隔离的问题，否则一般中小公司与个人无法实现云服务。要降低成本，就必须改变计算模式，否则服务方资源会限制服务的载荷。要降低技术门槛，就必须要能够实现个人云。个人云计算是云计算在个人领域的延伸，是以Internet为中心的个人信息处理，即通过Internet对个人的各种信息进行组织、存储、分发和再加工。与所有的“云”一样，个人云由服务器、终端、应用程序和个人信息组成。个人云计算具有与一般云计算相同的特征，例如共享、随意访问和可扩展。同时，它也具有与一般云计算不一样的特点，这是由个人信息的特点决定的。个人信息是私有的，对安全性要求较高。个人拥有大量的图片、视频等多媒体信息，要求存储量大并可以扩展，而对计算能力要求不强。市场调研机构Gartner预测，“个人云”在2014年将取代PC，成为网民数字生活的核心，真正进入应用驱动的时代。

对以上三大背景问题的总结，归纳为6个具体的目前存在与移动设备、计算虚拟化与云应用上的问题：

1.移动设备的数据安全问题；

2.移动设备的应用部署问题；

3.传统虚拟化占用硬件资源；

4.传统虚拟化启动时间长，运行速度慢；

5.用户之间缺乏安全隔离，不同信任级别用户需要权限控制分级；

6.不同应用之间缺乏隔离，需要避免可能的对***的操作与攻击；

当然，在具体的应用场合，某个具体的市场上，一般不会同时遇到上述全部问题，而是遇到其中某个问题成为重点头疼问题。可是，这些问题实际上是结构性内禀缺陷，如果有一种结构性的重建方案，能够同时解决掉上面的问题，那么，就构成一个普适通用的基本结构，可以广泛应用于移动存储设备，便携式计算与SaaS。

发明内容

为了解决上述的安全防护和权限控制问题，并实现高性能高速度的、低成本的移动应用部署与云应用设备，本发明提出一种采用四层结构来实现计算虚拟化的方法，该方法建立四个独立的虚拟化层次，分别为移动***层、虚拟卷加密层、虚拟应用层以及缓存层，通过将只读镜像***载入到Ramdisk启动运行获得一个快速并关机复原的***层，运算不经过物理磁盘而是以通过创建一个虚拟卷，经验证密钥后载入为虚拟磁盘并控制其访问实现，程序不装到***层，而是通过虚拟化应用环境到虚拟磁盘内部并抽取程序所需的Library与注册表来实现虚拟应用。虚拟应用层嵌套于虚拟卷加密层内，虚拟卷加密层与移动***层则直接存在于网络或移动存储设备，两者分开存储，互不包含。对于虚拟应用层内的程序，由于已经经过虚拟化重定向，运行时抽取到内存虚拟化出的磁盘作为缓存加速运行。见附图1。

为了便携式和安全抗攻击的需要，设备不安装操作***。而是采取移动的单独***层，仅提供***内核环境，上面不安装应用程序，关机或退出后复原。移动***层可以通过只读镜像***实现，运行时载入到Ramdisk运行，虚拟卷加密层通过创建一个虚拟卷并控制其访问实现，***访问加密层时将卷文件映射成***中的磁盘分区，应用层通过虚拟机或虚拟化应用环境并抽取程序所需的Library运行库和注册表来实现，使得部署在应用层的程序可跨***使用。也可以通过USB启动实现。

并且设备不直接使用物理磁盘，而是通过虚拟磁盘，将运算与应用程序都基于虚拟磁盘。通过客户端控制所有流入流出该虚拟磁盘的I/O操作。

虚拟卷（虚拟磁盘）加密层采用多用户不同权限密钥的方式，每个用户有一个客户端的帐号与密码，客户端为不同用户应用不同的密码与权限，所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等。并且，虚拟卷加密层针对不同的需求可以有多种模式，针对高性能需求与一般的安全防护需求，虚拟卷加密层采用单次认证模式，当用户访问虚拟卷时验证密钥，通过后直接将卷文件映射成***中的磁盘分区，不再对每次读写认证。针对高安全防护需求，适当牺牲性能，虚拟卷加密层采用每次读写认证模式，当用户从虚拟磁盘分区读取数据文件时，数据在经过虚拟磁盘驱动程序时进行解密操作，将文件以明文形式提交给用户; 当用户写入文件时虚拟磁盘驱动程序对数据进行加密后传递给设备驱动程序，最终数据以密文形式存储在物理磁盘上的虚拟卷。

除了不使用物理磁盘也不安装操作***，设备的应用程序部署也基于一个虚拟应用层。不同于虚拟机的是，这个虚拟应用层不虚拟硬件，不虚拟***，应用虚拟采用的方式为通过虚拟化应用环境、重定向注册表与库文件的方法来跨设备运行应用程序，此时，该虚拟应用层依赖于移动***层来提供***，依赖于虚拟磁盘层认证解密后加载的虚拟磁盘作为载体，应用层存储与虚拟卷内部。

这种虚拟方式下是以应用为单位的，应用内部的调用关系是自我包含的。因此对于虚拟应用层的程序，为了获得更快的速度效果，可以很方便的利用部分内存虚拟化为磁盘进行缓存的办法加速。不同于一般的计算设备中的缓存，这里并不需要用户习惯数据与使用频率的积累，由于应用已经被完全虚拟化，运行时可以直接通过抽取该应用到内存ramdisk或到高速闪存的方式来进行直接快速缓存。

所述方案实际上是一套技术方案，可以应用在各类场合。比如用的存储设备可以是任何移动设备，也可以具有USB接口，从而能够与计算机以USB协议连接，也可以具有无线网卡，从而能够与计算机以无线协议连接，如家庭网络存储等。

有益效果与发明创造性

本发明方案的主要优点在于低成本、低门槛地实现了一个性能好、使用方便、安全权限设置全面、高度隐私的虚拟化应用设备，可以跨设备工作。

低成本、高度便携：不需要服务器。一个存储设备经过所述方案处理即可实现。

低门槛：不需要额外的技术设备。

性能好、速度快：首先，***内核从内存运行，速度快；其次，不采用虚拟机架构，不会预占CPU处理器等硬件配置与资源，不需要开机等待，应用程序也可以享有完整的宿主计算机硬件配置；最后，由于抽离出单独的应用层，进行缓存加速，可以较快地运行虚拟化后的应用。

安全权限设置全面：由于应用层放置在虚拟卷加密层内，所有的权限控制都可以通过虚拟卷加密层实现。诸如为不同用户应用不同的密码与权限，所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等均可。

高度隐私：***层是只读镜像，通过载入到内存运行，关机后没有痕迹，应用层在虚拟卷加密层中运行，所有运行痕迹都在虚拟卷加密层里，关闭退出后没有残余任何痕迹在主机。

使用方便：设备具备三种工作模式：一、直接访问***层，适用于***恢复、应急使用；二、访问***层后，从***层访问加密层，如需要再访问应用层，适用于移动工作与有较高机密要求的工作；三、不访问***层，通过连接到其他计算机，比如通过网络共享到其他计算机，从HOST计算机的***访问加密层，身份认证后依据所对应身份的权限再访问应用层，适用于软件服务化，以及企业云等。

该发明的创造性：

该发明中运用到了几项现有技术，但不是这些技术的简单组合，既在各层结构上有创造，也在现有技术的应用上有创造与修改。四个层次在结构上有嵌套组合，比如虚拟应用层在虚拟卷加密层内，而虚拟卷加密层与移动***层分开存储等。

本身在技术上也有变化与改动，首先，比如，虚拟应用层不是虚拟机技术的克隆，而是重新设计的虚拟化结构，其没有虚拟硬件，也没有虚拟***层，而是用移动镜像***和虚拟磁盘层做了替换，且这样替换后虚拟应用的支持能力好，比虚拟机更好。速度也更快。首先，***内核从内存运行，速度快；其次，不会预占CPU处理器等硬件配置与资源，也不需要虚拟机的开机等待，应用程序也可以享有完整的宿主计算机硬件配置；最后，由于抽离出单独的应用层，进行缓存加速，可以较快地运行虚拟化后的应用。之前业界普遍认为虚拟机会减慢程序运行速度，这种观点也阻挠了移动应用设备的发展，在本发明中，用四层虚拟化的办法，代替虚拟机，就客服了速度问题。

如下面的实际案例所述，该虚拟计算办法在一些硬件资源不够运行传统虚拟机的老旧机器设备上，如256MB内存的奔三图拉丁机器上，也实现了流畅快速的运行，取得了原本不敢奢望的效果。

此外，这种方案还意外地解决了程序的移植问题与基于网络提供SaaS的问题。移植问题：在传统的虚拟机技术中，应用程序需要拷贝入虚拟机后安装到虚拟机，与虚拟机存在依存关系，很不易于移植，而在本方案的虚拟应用层中就摆脱了这种依存关系。基于网络提供SaaS的问题：即使在现今的高速网络下，虚拟机仍然不可能通过网络载入运行，而本方案中的虚拟应用都是自我包含的，用户完全可以通过互联网访问虚拟卷加密层，通过网络登录客户端，载入虚拟应用。并且此种SaaS不损伤服务端的***，类似P2P分发应用程序。

又比如，虚拟磁盘层不是原有的虚拟磁盘技术的克隆，为了实现权限控制并同时让虚拟应用自由运行，也进行了重新设计，大大改进了安全控制能力和应用运行能力。虚拟卷本身加密，且加载时在身份认证后并不解密而是只通过客户端控制管理I/O，本身依然不能直接访问，客户端通过密钥核对身份后打开虚拟磁盘，但并不解密虚拟磁盘，使用者必须通过客户端进行所有的文件操作和应用启动操作，而在该客户端上设置I/O权限限制如给予不同用户不同权限如不能复制，不能删除等，来实现权限控制。

又比如，即使最接近传统技术的缓存层，也有所变动，本方案中的缓存层实质上是拷贝与重定向，将虚拟应用层中的正在使用的已经虚拟化可以自我包含的应用程序的部分常用文件抽取转移到内存虚拟磁盘，并重定向以提高运行速度，是以应用程序为单位进行的。

下面的具体实施方式中，将做出更详细的阐述。

具体实施方式

基于本发明所描述的方法可以创建各种形式的四层虚拟化设备，本处仅描述一个样例。硬件本身基于一个闪存磁盘，带有USB接口和Wifi网卡，能够以USB或无线分享的方式连接到一般的计算机或移动设备。四层虚拟化实现方式为：在闪存上通过量产工作划分成一个启动分区(USB-HDD分区)，以及一个可写入的存储分区(一般的可移动磁盘类型)，并在启动引导的分区中存储了镜像只读的***文件，比如ISO镜像文件，运行时将该镜像***载入内存Ramdisk运行，而在存储分区中分开存放一个虚拟卷，在虚拟卷中安装了程序虚拟机(或建立了虚拟化的程序运行环境并抽取应用程序所需的Library运行库和注册表)。虚拟卷外则是普通的存储空间。该虚拟卷文件夹外存放有身份验证的客户端，当用户运行客户端经过密钥认证后，该虚拟卷会被载入为一个共享在网络上的磁盘Y，但不支持直接访问，而是需要经由客户端内的专门为该虚拟卷制作的资源管理器访问。在该客户端内的资源管理器可以打开虚拟机程序，以及虚拟化的应用程序的安装与管理的控制面板程序，负责应用程序的安装、卸载、管理、目录索引、运行。这些虚拟化的应用程序只需从控制面板中点击就可以直接运行，因为其运行所需要的注册表和环境文件和Library库文件都已经一并存储在虚拟卷中，当程序运行调用时直接指向到这些虚拟卷内的文件。

样品设备还支持一个快速运行模式，可以由用户选择是否开启，实现方式为：启动控制面板后，同时执行内存虚拟化操作，分割一部分内存作为虚拟磁盘Ramdisk。从控制面板点击程序运行时，由于程序已经被虚拟化处理了，包含了其运行所需的注册表和环境文件和Library库文件，所以可抽取到上述的内存虚拟磁盘中。这一步载入会导致样例设备上启动应用程序比较慢，但是载入到内存虚拟磁盘后运行速度会非常快。内存有易失性，因此，计算机关闭前将ramdisk中的缓存内容保存到镜像文件中，放置于存储分区，下次开机时载入。

在控制面板中除了可以设置虚拟应用是否以缓存模式运行，还可设置以哪一种缓存模式运行，除了上述的模式外，还有闪存加速模式。分隔一部分闪存为一个.dat结尾的数据包，如果在上一步中设置了以闪存加速缓存模式运行，则从虚拟应用层运行的应用程式运行时将被按照该模式缓存重定向到该.dat数据包。但由于闪存的特性以及接口速度限制，这一模式一般开启后并不抽取整个应用，而是重定向小文件与随机文件。

当样例设备以USB连接计算机时，该计算机能够通过USB引导载入样例设备中的镜像操作***到Ramdisk中，当然这样这个***层就是完全只读的，但是这并不影响我们的日常工作，因为虚拟卷文件层和应用层都已经分割出来了，镜像***在内存中运行不但完全只读，不会感染病毒或者留下痕迹，而且内存速度快。通过该镜像***访问样例设备的存储分区，可以访问虚拟卷加密层的客户端程序，运行客户端程序，认证密码，获得对应密钥用户的权限，并载入虚拟卷加密层为网络磁盘Y。该网络磁盘Y是不允许资源管理器直接访问的。用户通过客户端来访问其中资源，以及开启应用层的控制面板程序，从中查看程序列表，运行应用程序。所有本地的操作***能够完成的工作都可以在样例设备的分层模式下完成，所不同的是，所有对应用程序和工作空间的修改，比如保存数据、设置偏好、安装新程序等都在应用层完成，而文件操作都在虚拟卷加密层完成，在关机退出后在本机不留下痕迹。当然，也可以直接用USB连接计算机后登录加密层后使用应用层。本模式主要适用于完成一些客户服务工作、移动工程师、维修杀毒工作、商务机要操作以及携带工作空间等，如附图2所示。

当样例设备以加密的Wifi共享连接到附近的计算机时，该计算机能够在网络设备中发现到样例设备，呈现为一个网络上的计算机文件夹，进入该网络文件夹，可以访问虚拟卷加密层的客户端程序，运行客户端程序，认证密码，获得对应密钥用户的权限，并载入虚拟卷加密层为网络磁盘Y。该网络磁盘Y是不允许资源管理器直接访问的。用户通过客户端来访问其中资源，以及开启应用层的控制面板程序，从中查看程序列表，运行应用程序。多个用户能够共同访问使用，并拥有不同的权限，比如有的用户不能够复制特定文件，有的用户不能看到特定程序，有的用户如访问用户有使用时长限制等，很适合企业单位用于统一集中控制本单位的程序和文件。对于一个家庭用户，或者私人用户，也能够用于让其所有设备在一个安全隔离和安全控制的环境下共同使用应用程序、游戏等，如附图3所示。

说明书附图说明

图1. 分层结构原理图。

图2. 样例设备的模式一下虚拟化的程序运行示意图。

图3. 样例设备的模式二下虚拟化的程序运行示意图。

Claims

1.一种采用四层结构来实现计算虚拟化的方法，该方法建立四个独立的虚拟化层次，分别为镜像***层、虚拟卷加密层、虚拟应用层以及缓存层，通过独立的四个层的相互嵌套设计来实现计算的加密且弹性的虚拟化：其中镜像***层包含至少一个镜像操作***或USB OTG***，包含有***内核环境，但不安装到设备，而是直接存在存储设备上，设置为可以通过USB启动或网络启动等方式引导启动，在不使用宿主计算机***时通过USB启动或载入到内存虚拟的Ramdisk磁盘运行，提供基本的***内核环境，虚拟卷加密层包含加密的虚拟磁盘，也直接存在于存储设备上，但是与***文件保持独立，且虚拟卷加密层需要核对密钥加载，加载后在计算设备中生成虚拟磁盘作为工作分区，虚拟应用层则存储于虚拟卷加密层内，但不通过虚拟机，不包含虚拟硬件与***等，而是通过虚拟化应用环境、重定向注册表与库文件的方法来跨设备运行应用程序，虚拟应用运行时，建立缓存层映射到宿主计算机的内存或高速外设中进行缓存。

2.一种权利要求1所描述的方法，其特征在于，移动***层通过只读镜像***实现，运行时载入到Ramdisk运行，虚拟卷加密层通过创建一个虚拟卷，经验证密钥后载入为虚拟磁盘并控制其访问实现，并且该虚拟加密卷层只通过客户端控制管理I/O，客户端通过密钥核对身份后打开虚拟磁盘，但并不解密虚拟磁盘，使用者必须通过客户端进行所有的文件操作和应用启动操作，而在该客户端上设置I/O权限限制如给予不同用户不同权限实现权限控制，***访问加密层时将虚拟卷文件映射成***中的磁盘分区，应用层整体部署在虚拟磁盘层中，通过虚拟化应用环境并抽取程序所需的Library运行库和注册表来实现，使得部署在应用层的程序可跨设备使用。

3.一种权利要求1所描述的方法，其特征在于，缓存层通过在外接存储设备中或虚拟卷加密层所在的存储设备中应用readyboost实现。

4.一种权利要求1所描述的方法，其特征在于，虚拟卷加密层采用单次认证模式，当用户访问虚拟卷时验证密钥，通过后直接将卷文件映射成***中的磁盘分区，不再对每次读写认证。

5.一种权利要求1所描述的方法，其特征在于，虚拟卷加密层采用每次读写认证模式，当用户从虚拟磁盘分区读取数据文件时，数据在经过虚拟磁盘驱动程序时进行解密操作，将文件以明文形式提交给用户; 当用户写入文件时虚拟磁盘驱动程序对数据进行加密后传递给设备驱动程序，最终数据以密文形式存储在物理磁盘上的虚拟卷。

6.一种权利要求1所描述的方法，其特征在于，虚拟卷加密层采用多用户不同权限密钥的方式，为不同用户应用不同的密码与权限，所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等。

7.一种依据权利要求1所描述的方法制造的设备，其特征在于，包含至少一个启动分区(网络启动或CDROM或USB-HDD分区等)，以及至少一个可写入的存储分区(可移动磁盘类型或者本地磁盘类型)，并在启动引导的分区中存储了镜像只读的***文件，比如ISO镜像文件，运行时将该镜像***载入内存运行，而在存储分区中分开存放一个或多个虚拟卷，在虚拟卷中安装程序虚拟机(或建立了虚拟化的程序运行环境并抽取应用程序所需的Library运行库和注册表)。

8.一种依据权利要求1所描述的方法制造的设备，其特征在于，设备的缓存层通过在宿主计算机中创建内存虚拟磁盘ramdisk，抽取整个正在运行的虚拟应用到该ramdisk中，并在虚拟卷加密层所在的存储设备中设置镜像文件，计算机关闭前将ramdisk中的内容同步保存到该镜像文件中，下次运行时重新载入。

9. 一种依据权利要求1所描述的方法制造的设备，其特征在于，设备具有USB接口，能够与计算机以USB协议连接，在与计算机以USB连接后，以计算机的***代替本身的镜像***层作为***内核，而以设备的虚拟卷作为磁盘，验证密钥后载入该虚拟磁盘及其中的虚拟化应用。

10.一种依据权利要求1所描述的方法制造的设备，其特征在于，设备具有无线网卡，能够与计算机以无线协议连接，在与计算机以无线连接后，以计算机的***代替本身的镜像***层作为***内核，而以设备的虚拟卷作为磁盘，验证密钥后载入该虚拟磁盘及其中的虚拟化应用。